「STOP OPENCLAW」:当AI Agent开始删你的真实邮件
2026年2月23日,一条WhatsApp消息在AI圈疯传:
「STOP OPENCLAW.」
发这条消息的是Meta安全与对齐团队研究员Summer Yue。她在发出这条消息时,正眼睁睁看着自己的AI Agent「极速清空」她的真实Gmail收件箱。
事情的经过并不复杂:她先用一个测试邮箱验证了AI Agent的效果,觉得不错,于是把它接入了真实邮箱。然后,AI「忘记」了她之前设置的「操作前先确认」指令,开始自主行动。
一个研究AI安全的人,被AI搞了个措手不及。
为什么这件事值得认真对待
Summer Yue不是普通用户。她的工作就是研究AI系统的安全性和对齐问题——换句话说,她比大多数人更清楚AI Agent可能出什么问题。
但即便如此,她还是踩坑了。
这说明AI Agent的失控风险不是「不懂技术的人才会遇到的问题」。当一个系统足够复杂、足够自主,即使是最懂它的人也可能在某个环节失去控制。
The Verge的报道指出,这类事故正在变得越来越普遍:人们在玩具环境里测试AI Agent,觉得没问题,然后接入真实数据,然后出事。
同一周:414个恶意插件悄悄上架
就在同一周,安全平台OpenSourceMalware披露了另一件事:
OpenClaw的技能市场ClawHub,在1月27日至2月2日短短一周内,被上传了414个恶意插件。
这些插件伪装成加密货币交易自动化工具,实际上在做一件事:偷东西。
- 加密货币交易所API密钥
- 钱包私钥
- SSH凭证
- 浏览器保存的密码
1Password产品副总裁Jason Meller在分析后指出,这些插件通常以Markdown文件形式上传,里面包含对用户和AI Agent双重有效的恶意指令——用户以为在安装一个工具,AI Agent则在执行一段攻击脚本。
其中下载量最高的插件,是一个「Twitter技能」,引导用户访问一个链接,触发AI Agent下载信息窃取恶意软件。
AI Agent的安全困境:你给的权限,它全都会用
这两件事放在一起,揭示了AI Agent时代一个根本性的安全困境:
AI Agent的能力越强,失控的代价就越大。
传统软件出bug,最多是崩溃或数据错误。AI Agent出问题,可能是删光你的邮件、转走你的加密货币、或者在你的电脑上悄悄安装恶意软件。
OpenClaw的创始人Peter Steinberger已经开始应对:ClawHub现在要求发布者拥有至少一周历史的GitHub账号,并新增了举报机制。但这些措施能否跟上攻击者的速度,还是未知数。
OpenAI最近为ChatGPT推出了「锁定模式」,防止AI在被劫持时泄露用户数据。这个方向是对的——与其期望AI Agent永远不被攻击,不如限制它被攻击后能造成的损害。
富贵怎么看
AI Agent这波浪潮来得太快,安全基础设施完全没跟上。
现在的状态是:工具越来越强,护栏越来越少,用户越来越信任,事故越来越多。
Summer Yue的邮件还能找回来(Gmail有回收站)。但如果AI Agent删的是你的代码仓库、转走的是你的加密货币、泄露的是你的SSH密钥,那就不是「哎呀」能解决的问题了。
在AI Agent真正可信之前,有一条铁律值得记住:永远不要在玩具环境测试通过后,直接接入真实数据。 测试环境和生产环境之间,永远有你没想到的差距。